Обещанный пост о том как защитить ПК от вирусов шифровальщиков
ещё комментарии
извлеченные попадут, но архиваторы уже 100 лет как умеют открываться прям из архива. в этом случае политика не спасает к сожалению.
раскрыть ветку (19)
Прежде чем запуститься, к твоему сведению файл и все содержимое архива копируется в TEMP, откуда уже запускается. Просто ты не видишь, как это происходит.
По поводу поста - а из папки Windows игнорируются эти правила автоматически или при пепезапуске система упадёт?
По поводу поста - а из папки Windows игнорируются эти правила автоматически или при пепезапуске система упадёт?
раскрыть ветку (5)
про Temp спасибо. что-то я про него и подзабыл попробую проверить как скажется на работе блокировка этого каталога через ГП. Из Архиватора теперь блокирует открытие - и это отлично )
по умолчанию созданы 2 правила в политике которые идут для папки Program Files и так как сначала грузится Windows а потом начинает работать ГП то винда не упадет. Проверено на себе и моих клиентах.
раскрыть ветку (2)
раскрыть ветку (1)
там где-то рядом можно конкретные программы прописать (хэш или что-то типа того, или я с касперским путаю?) вместо папки. Не думаю, что у Вас часто меняются системные программы.
Еще пара вопросов: как решается проблема с софтом, который ставится в appdata (viber?), или инсталяшки, которые распаковывают или скачивают исполняемые в TEMP. Открыть доступ к этим папкам = свести всю защиту к нулю.
Еще читал, но не проверял, что если убрать .lnk из списка расширений, то можно запускать исполняемые через ярлыки и это брешь в защите. А если вместо этого прописать дополнительное правило на путь *.lnk, то все будет работать как надо.
раскрыть ветку (12)
Больше интересна работа системных сервисов, которые запускают exe-процессы по ходу работы системы
раскрыть ветку (7)
на %programfiles% и %windir% по умолчанию созданы разрешающие правила, так что тут нет проблем.
раскрыть ветку (6)
раскрыть ветку (5)
чтобы он туда поселился его нужно либо туда поселить либо запустить что-то эдакое. а раз все режется политикой в большинстве то это практически не реально. но если вы ему поможете то да тут уже не спастись.
раскрыть ветку (4)
раскрыть ветку (3)
раскрыть ветку (2)
раскрыть ветку (1)
Защита должна быть комплексной, ограничение запуска потенциально опасных приложений из нежелательных источников это обязательная ее часть.
запускается, если есть правило пути, но думаю и вредонос запустится точно так же как и все остальное.
софту как правило можно указать куда ты хочешь его установить. А инсталяшки норм работают так как папку темп мы не блочим ибо она блочит практически все. про ярлыки интересно попробую проверить.
раскрыть ветку (1)
Не блояим папку Темп? Разве "*" во втором правиле не говорит о том, что правило работает для ВСЕХ путей на компьютере?
проблема с софтом, который ставится в appdata
viber
ставить подобное ПО = свести всю защиту к нулю
Фиксед.
Говнософт не нужен.
ещё комментарии